Credential Guard para instâncias do Windows - Amazon Elastic Compute Cloud

Credential Guard para instâncias do Windows

O AWS Nitro System é compatível com instâncias do Credential Guard para Amazon Elastic Compute Cloud (Amazon EC2) no Windows. O Credential Guard é um recurso de segurança baseada em virtualização (VBS) do Windows que permite a criação de ambientes isolados para proteger ativos de segurança, como credenciais de usuário do Windows e imposição da integridade de código, além das proteções do kernel do Windows. Quando você executa instâncias do Windows no EC2, o Credential Guard usa o AWS Nitro System para impedir que as credenciais de login do Windows sejam extraídas da memória do sistema operacional.

Pré-requisitos

Sua instância do Windows deve cumprir os pré-requisitos a seguir para utilizar o Credential Guard.

Imagens de máquina da Amazon (AMIs)

A AMI deve ser pré-configurada para habilitar o NitroTPM e o UEFI Secure Boot. Para obter mais informações sobre as AMIs compatíveis, consulte Requisitos para usar o NitroTPM com instâncias do Amazon EC2.

Integridade da memória

Não há suporte à integridade da memória, também conhecida como integridade de código protegida por hipervisor (HVCI) ou integridade de código imposta pelo hipervisor. Antes de ativar o Credential Guard, você deve garantir que esse atributo esteja desabilitado. Para ter mais informações, consulte Desabilitação da integridade da memória.

Tipos de instância

Os seguintes tipos de instância são compatíveis com o Credential Guard em todos os tamanhos, exceto se indicado de outra forma: C5, C5d, C5n, C6i, C6id, C6in, C7i, C7i-flex, M5, M5d, M5dn, M5n, M5zn, M6i, M6id, M6idn, M6in, M7i, M7i-flex, R5, R5b, R5d, R5dn, R5n, R6i, R6id, R6idn, R6in R7i, R7iz, T3.

nota
  • Embora o NitroTPM tenha alguns tipos de instância obrigatórios em comum, o tipo de instância deve ser um dos tipos de instância anteriores para ser compatível com o Credential Guard.

  • O Credential Guard não é compatível com:

    • Instâncias bare metal

    • Os seguintes tipos de instância: C7i.48xlarge, M7i.48xlarge e R7i.48xlarge.

Para obter mais informações sobre tipos de instância, consulte o Guia de tipos de instância do Amazon EC2.

Inicialização de uma instância compatível

Agora é possível usar o console do Amazon EC2 ou AWS Command Line Interface (AWS CLI) para iniciar uma instância que é compatível com o Credential Guard. Você precisará de um ID de AMI compatível para iniciar sua instância, que seja exclusivo para cada Região da AWS.

dica

Você pode usar o link a seguir para descobrir e iniciar instâncias com AMIs compatíveis fornecidas pela Amazon no console do Amazon EC2:

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Para iniciar uma instância usando o console do Amazon EC2

Siga as etapas para iniciar uma instância, especificando um tipo de instância compatível e uma AMI do Windows configurada previamente.

AWS CLI
Para iniciar uma instância usando o AWS CLI

Use o comando run-instances para iniciar uma instância usando um tipo de instância compatível e a AMI do Windows pré-configurada.

aws ec2 run-instances \ --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \ --instance-type c6i.large \ --region us-east-1 \ --subnet-id subnet-id --key-name key-name
PowerShell
Para iniciar uma instância usando o AWS Tools for PowerShell

Use o comando New-EC2Instance para iniciar uma instância usando um tipo de instância compatível e a AMI do Windows pré-configurada.

New-EC2Instance ` -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base ` -InstanceType c6i.large ` -Region us-east-1 ` -SubnetId subnet-id ` -KeyName key-name

Desabilitação da integridade da memória

É possível usar o Editor de Política de Grupo Local para desativar a integridade da memória em cenários compatíveis. A seguinte orientação pode ser aplicada para cada configuração em Proteção da integridade do código baseada em virtualização:

  • Habilitada sem bloqueio: modifique a configuração para Desabilitada para desabilitar a integridade da memória.

  • Habilitada com bloqueio de UEFI: a integridade da memória foi habilitada com o bloqueio de UEFI. A integridade da memória não pode ser desabilitada depois de habilitada com o bloqueio de UEFI. Recomendamos criar uma nova instância com a integridade da memória desabilitada e encerrar a instância sem suporte se ela não estiver em uso.

Para desabilitar a integridade da memória com o Editor de Política de Grupo Local
  1. Conecte-se à sua instância como uma conta de usuário com privilégios de administrador usando o protocolo do Desktop Remoto (RDP). Para ter mais informações, consulte Conexão com a instância do Windows usando um cliente RDP.

  2. Abra o menu Iniciar e pesquise cmd para iniciar um prompt de comando.

  3. Execute os comandos a seguir para abrir o Editor de Política de Grupo Local: gpedit.msc

  4. No Editor de Política de Grupo Local, selecione Configuração do Computador, Modelos Administrativos, Sistema, Device Guard.

  5. Selecione Ativar Segurança Baseada em Virtualização e, em seguida, selecione Editar configuração de política.

  6. Abra o menu suspenso de configurações para Proteção da integridade do código baseada em virtualização, escolha Desabilitada e, em seguida, escolha Aplicar.

  7. Reinicie a instância para aplicar as alterações.

Ativação do Credential Guard

Depois de iniciar uma instância do Windows com um tipo de instância e uma AMI compatíveis e confirmar que a integridade da memória está desabilitada, você poderá habilitar o Credential Guard.

Importante

São necessários privilégios de administrador para executar as seguintes etapas para ativar o Credential Guard.

Para ativar o Credential Guard
  1. Conecte-se à sua instância como uma conta de usuário com privilégios de administrador usando o protocolo do Desktop Remoto (RDP). Para ter mais informações, consulte Conexão com a instância do Windows usando um cliente RDP.

  2. Abra o menu Iniciar e pesquise cmd para iniciar um prompt de comando.

  3. Execute os comandos a seguir para abrir o Editor de Política de Grupo Local: gpedit.msc

  4. No Editor de Política de Grupo Local, selecione Configuração do Computador, Modelos Administrativos, Sistema, Device Guard.

  5. Selecione Ativar Segurança Baseada em Virtualização e, em seguida, selecione Editar configuração de política.

  6. Escolha Ativado no menu Ativar Segurança Baseada em Virtualização.

  7. Em Selecione o Nível de Segurança da Plataforma, escolha Inicialização segura e a proteção de DMA.

  8. Em Configuração do Credential Guard, escolha Habilitada com bloqueio de UEFI.

    nota

    As configurações de política restantes não são necessárias para ativar o Credential Guard e podem ser deixadas como Não configuradas.

    A imagem a seguir exibe as configurações de VBS definidas conforme descrito anteriormente:

    Configurações do objeto de política de grupo de segurança baseada em virtualização com a opção Ativar Segurança Baseada em Virtualização ativada.
  9. Reinicie a instância para aplicar as configurações.

Verificação se o Credential Guard está em execução

Você pode usar a ferramenta Informações do sistema Microsoft (Msinfo32.exe) para confirmar se o Credential Guard está em execução.

Importante

Você deve primeiro reinicializar a instância para concluir a aplicação das configurações de política necessárias para ativar o Credential Guard.

Para verificar se o Credential Guard está em execução
  1. Conecte-se à sua instância usando o Remote Desktop Protocol (RDP). Para ter mais informações, consulte Conexão com a instância do Windows usando um cliente RDP.

  2. Na sessão RDP da sua instância, abra o menu Iniciar e pesquise cmd para iniciar um prompt de comando.

  3. Abra as informações do sistema ao executar o comando a seguir: msinfo32.exe

  4. A ferramenta Informações do sistema Microsoft lista os detalhes da configuração do VBS. Ao lado de Serviços de segurança baseados em virtualização, confirme se o Credential Guard aparece como em execução.

    A imagem a seguir mostra que o VBS está sendo executado conforme descrito anteriormente:

    Uma imagem da ferramenta Informações do sistema Microsoft com a linha de segurança baseada em virtualização mostrando um status de Executando, confirmando que o Credential Guard está em execução.